Hallo Spezialisten,
ich habe eine Deny-All Firewall aufgebaut und verstehe die Funktion bzw. die Nicht-Funktion zweier Regeln nicht.
Lokal gibt es ein LC_1722 mit FW 6.24 (10.10.10.0), daran angeschlossen ein Switch, dort angeschlossen alle Netzwerkteilnehmer sowie das WAN Port eines LC_DSL10 (WAN: 10.10.10.6, LAN: 10.10.12.0).
Am LC_1722 ist u.a. ein Internetzugang, zwei VPN Routen und eine Route zum LC_DSL10 sowie die jeweiligen DNS Weiterleitungen eingerichtet. In die VPN Routen funktioniert alles wie ich mir das vorstelle, zum LC_DSL10 nicht.
Die Firewall im LC_1722 ist eine Deny-All. Freigegeben sind u.a. "nur für die Default-Route" DNS, mit UDP LOCALNET %S53 ANYHOST und PING, mit ICMP LOCALNET ANYHOST. Beide Regeln haben Priorität 1. Weiterhin gibt es Freigaben "nur für VPN Routen", ANY %A10.10.10.0 %M255.255.255.0 ANYHOST, und eine (ohne Einschränkung VPN/Default) für das 12er Netz ins LC_10DSL, ANY %A10.10.10.0 %M255.255.255.0 %A10.10.12.0 %M255.255.255.0. Diese beiden Regeln haben, wie auch die Deny-All Regel, die Priorität 0.
Wenn ich nun von einem Arbeitsrechner im LAN des LC_1722 ein "ping -a test.domain.lan" eingebe kommt für die VPN Routen die erwartete IP zurück. Wenn ich dies für eine Station im 12er Netz eingebe kommt kein Ergebnis und die Firewall löst aus. Deny-All weist Pakete zurück, wenn unser DNS Server (10.10.10.1) diese Anfrage an den LC_1722 weitergibt (10.10.10.5:53). Genau diesen Weg nehmen aber die Anfragen in die VPN Netze auch.
Nach meinem Verständnis gehen diese Pakete eben nicht über die "Default-Route" Regeln, sondern über die Freigaben für VPN bzw. das 12er Netz. Im Übrigen funktioniert ein PING an eine IP im 12er Netz einwandfrei. Hier verstehe ich nicht wieso. Das dürfte eigentlich nicht funktionieren weil die DNS und die PING Freigaben gleich aufgebaut sind (@i).
Von einer Telnetsizung aus dem LC_1722 heraus lässt sich alles auflösen, auch das 12er Netz. Es geht also nur um die Pakete die durch den Lancom durch müssen.
Wer kann das nachvollziehen und mir eine Erklärung geben?
Die DNS Auflösung funktioniert übrigens wenn ich in meiner DNS Regel "nur für die Default-Route" deaktiviere.
Gruß Michael
Deny-All: fehlende DNS Auflösung bei lokaler Routerkopplung
Moderator: Lancom-Systems Moderatoren
Warum so kompliziert. Reicht die DENY-ALL Regel doch einfach nur bezogen auf die Default-Route ein. Dann passiert ausschließlich in Richtung Internet nichts mehr und du sparst dir mehere spezielle Regeln.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo ittk,
interessant!
So habe ich mir das noch nicht überlegt. Bei einer Denny-All bin ich bisher immer von einer kompletten Sperrregel für alles ausgegangen. Ich überlege mal die Regeln diesbezüglich zu überarbeiten. Allerdings kann ja dann jeglicher Datenverkehr ins VPN und ins 12er Netz, eben nur nicht in die Default Route. Dies müsste ich dann anders Einschränken.
Dennoch bleibt die Frage wieso das PING an eine IP funktioniert und an einen Namen nicht.
Danke und Gruß
Michael
interessant!
So habe ich mir das noch nicht überlegt. Bei einer Denny-All bin ich bisher immer von einer kompletten Sperrregel für alles ausgegangen. Ich überlege mal die Regeln diesbezüglich zu überarbeiten. Allerdings kann ja dann jeglicher Datenverkehr ins VPN und ins 12er Netz, eben nur nicht in die Default Route. Dies müsste ich dann anders Einschränken.
Dennoch bleibt die Frage wieso das PING an eine IP funktioniert und an einen Namen nicht.
Danke und Gruß
Michael
Jein,
da durch die VPN-Tunnel nur die Netze mit IPSec SAs erlaubt werden, mit denen du die direkte Koppelung per Assistenten eingerichtet hast funktionieren oder die SAs manuelle erweiterst mit VPN-Regeln in der Firewall oder durch entsprechende weitere Routingtabelleneinträgen mit der Angabe des Zielrouter der über VPN erreichbar ist.
Die IPSec Filterung greift noch vor der eigentlichen Firewall Filterung.
Du kannst dir die Regeln mittels telnet mit show vpn (long) anzeigen lassen.
da durch die VPN-Tunnel nur die Netze mit IPSec SAs erlaubt werden, mit denen du die direkte Koppelung per Assistenten eingerichtet hast funktionieren oder die SAs manuelle erweiterst mit VPN-Regeln in der Firewall oder durch entsprechende weitere Routingtabelleneinträgen mit der Angabe des Zielrouter der über VPN erreichbar ist.
Die IPSec Filterung greift noch vor der eigentlichen Firewall Filterung.
Du kannst dir die Regeln mittels telnet mit show vpn (long) anzeigen lassen.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo ittk,
ok, IPSec greift vor der Firewall, klappt ja auch einwandfrei.
Jetzt betrachte aber mal nur die Route ins 12er Netz. Das PING dorthin auf eine IP funktioniert, das PING auf ein Namen nicht. Die Regeln sind prinzipiell verglichbar aufgebaut (bis auf die Ports und Protokolle natürlich). Wieso funktioniert das Ping an die IP bzw. wieso funktioniert die DNS Auflösung nicht?
Gruß
Michael
ok, IPSec greift vor der Firewall, klappt ja auch einwandfrei.
Jetzt betrachte aber mal nur die Route ins 12er Netz. Das PING dorthin auf eine IP funktioniert, das PING auf ein Namen nicht. Die Regeln sind prinzipiell verglichbar aufgebaut (bis auf die Ports und Protokolle natürlich). Wieso funktioniert das Ping an die IP bzw. wieso funktioniert die DNS Auflösung nicht?
Gruß
Michael
Nutzt du die DNS Server des LANCOMs an deinem Client? Oder weitere interne in deinem LAN?
FAlls du DNS-Weiterleitungen nutzen willst oder speziell einen DNS für die VPN-Strecke, dann guck mal hier nach:
http://www.lancom-forum.de/htopic,3482, ... meter.html
FAlls du DNS-Weiterleitungen nutzen willst oder speziell einen DNS für die VPN-Strecke, dann guck mal hier nach:
http://www.lancom-forum.de/htopic,3482, ... meter.html
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo ittk,
im LAN (LC_1722 10.10.10.0) steht ein w2k Server (10.10.10.1) als DNS und DHCP. Der hat dann eine Weiterleitung zum LC_1722 (10.10.10.5). Die DNS Weiterleitungen im LC_1722 sind fest für die Routen eingegeben, z.Bsp. für *.test.lan -> 10.10.12.1. Das die Namensauflösung funktioniert sehe ich während einer Telnetsitzung am LC_1722. Das PING auf name.test.lan bringt eine IP zurück. Wenn ich dieses PING von einem Client ausführe (DNS ist der w2k Server) schlägt die Firewall an 10.10.10.1:xyz -> 10.10.10.5:53. Genau das ist die DNS Weiterleitung unseres w2k Servers an den LC_1722.
Betrachten wir mal nur die Route vom LC_1722 zum LC_DSL10. Ich bin der Meinung, wenn bei Deny-All zwei gleich aufgebaute Freigaben existieren, die auch gleich funktionieren müssen.
Wenn nun also PING und DNS nur für die Default Route freigegeben ist, muss also für die Route ins 12er Netz eine extra Regel dasein damit das funktioniert. Diese Regel ist "erlaube 10.10.10.0 -> 10.10.12.0".
Genau an dieser Stelle kann ich von einem Client ein PING an eine IP machen, nicht aber an einen Namen.
Gruß
Michael
im LAN (LC_1722 10.10.10.0) steht ein w2k Server (10.10.10.1) als DNS und DHCP. Der hat dann eine Weiterleitung zum LC_1722 (10.10.10.5). Die DNS Weiterleitungen im LC_1722 sind fest für die Routen eingegeben, z.Bsp. für *.test.lan -> 10.10.12.1. Das die Namensauflösung funktioniert sehe ich während einer Telnetsitzung am LC_1722. Das PING auf name.test.lan bringt eine IP zurück. Wenn ich dieses PING von einem Client ausführe (DNS ist der w2k Server) schlägt die Firewall an 10.10.10.1:xyz -> 10.10.10.5:53. Genau das ist die DNS Weiterleitung unseres w2k Servers an den LC_1722.
Betrachten wir mal nur die Route vom LC_1722 zum LC_DSL10. Ich bin der Meinung, wenn bei Deny-All zwei gleich aufgebaute Freigaben existieren, die auch gleich funktionieren müssen.
Wenn nun also PING und DNS nur für die Default Route freigegeben ist, muss also für die Route ins 12er Netz eine extra Regel dasein damit das funktioniert. Diese Regel ist "erlaube 10.10.10.0 -> 10.10.12.0".
Genau an dieser Stelle kann ich von einem Client ein PING an eine IP machen, nicht aber an einen Namen.
Gruß
Michael